Útočníci využili možnosti k nasazení malwaru přímo do platebních terminálů Home Depotu v USA a Kanadě a procházelo jim to od dubna až do září. Společnost sama prozatím odhaduje, že je tento bezpečnostní incident bude stát 62 milionů dolarů.
Ohrožení 56 milionů kreditních karet z Home Depotu překonává předchozí známý případ se 40 miliony karet u společnosti Target. V obou případech hraje klíčovou roli průnik do interních sítí společnosti a nasazení malwaru, který po dlouhou dobu odchytával komunikaci a informace z platebních terminálů.
Není výjimkou, že takové případy se dějí i v České republice. Dochází k nim nejen při útocích hackerů, ale citlivá data mohou opustit firmu i jinými způsoby. Například když zaměstnanci firem odcházejí, může se stát se, že z nedbalosti vynesou firemní data.
Český trh je podstatně menší, takže případný únik by byl o řád menší, ale v zásadě zde riziko zcela určitě je. Bohužel v této oblasti jsou platební sítě a terminály černé skříňky, do kterých není vidět. A z historie už víme o ojedinělých napadených terminálech, kdy útočníci využili XP Embedded systémy k nasazení „viru“ do bankomatů.
Home Depot oznámil, že malware byl odstraněn, následně došlo k nasazení rozšířeného šifrování platebních dat přímo na platebních terminálech (kasách). K úplnému nasazení tohoto tolik potřebného prvku ochrany však v některých obchodech dojde až na počátku roku 2015.
Malware nasazený do Home Depotu byl klasicky psaný přímo na míru a na platebních terminálech fungoval od dubna do září 2014, kdy bylo odhalen až na základě upozornění od bank a vyšetřovatelů. V zásadě jde o totožný nebo velmi podobný způsob průniku jako u již zmíněného Targetu.
Vynecháme-li zanedbání bezpečnosti v podobě práce s nešifrovanými citlivými daty, nabízí se otázka, proč Home Depot či Target vlastně nepoužívali systémy ochraňující před úniky dat či systémy detekce průniku do sítí a řadu dalších běžně dostupných technologií.
Útočníci najdou slabiny či možnost jak se dostat do interní sítě společnosti, zjistí potřebné informace, zmapují možnosti a přímo na míru vytvoří software, jenž postupně nasadí na co nejvíce míst, kterými tečou, případně přímo přicházejí data. Pokud jsou tato data nedostatečně zabezpečena, získá přístup k informacím o platbách, číslech karet, včetně PIN a informací o držitelích. Zjištění PIN navíc v těchto případech znamená, že je možné vytvořit kopii karty a tu využít v bankomatu pro přímý výběr peněz.
Takto získané informace jsou shromažďovány v samotných systémech společnosti a průběžně či dávkově odesílány na systémy vlastněné útočníky, to vše bez vědomí o takovém konání. Získané informace jsou poté prodávany na černém trhu a nic netušící zákazníci přicházejí o peníze. Ty jim sice v USA běžně snadno vrátí jejich banka, ale vznikají tím další související problémy a náklady.
Podobným aktivitám přitom mohou zabránit, ať už přímo nebo pomocí zjištění podezřelých aktivit, odpovídající systémy počítačové bezpečnosti. V okamžiku možných průniků jde o IDS (Intrusion Detection Software) pomůcky, které dokážou detekovat snahu vniknout do systému. V pozdějších fázích DLP (Data Loss Protection) systémy, které umí sledovat aktivity v systémech a výrazně přispět k včasnému odhalení podezřelých aktivit. A to ať už jde o činnost hackerů z vnějšku nebo o útok zevnitř, často se objevující i od samotných zaměstnanců.
Je ovšem vidět, že v obou případech došlo i k selhání v otázce architektury vnitřní sítě, kdy bylo možné z vnějšku, tedy z internetu, proniknout až k samotným platebním terminálům a kasám a z nich získaná data opět dostávat ven. Podstatnou roli zde hraje nejspíše i přítomnost nedostatečně zabezpečených Windows XP systémů, které byly použité jako platební terminály.
Vlna úniků informací o platebních kartách a zákaznících v USA ukazuje, že řadu let tamní prodejci zanedbávali základní zásady bezpečnost, ochrany dat i šifrování dat. Ale včetně tolik potřebné prevence také ignorovali potřebu aktivní ochrany, vidět to bylo už i na případu společnosti Target, kde jejich bezpečností software hlásil podezřelé aktivity, ale zodpovědní lidé tomu nepřikládali důraz.
Autor je CEO společnosti Safetica
